VPS一流-专注VPS主机和SS-VPN翻墙学习技术

如何修复SS7漏洞?

最近,黑客从德国银行账户中成功攫取了大笔金钱,但却不是通过黑了银行本身,而是利用了全球电话通讯协议SS7中所知已久的一个漏洞。这种类型的攻击,研究人员们早在几年前就发出了警告,或许会让电信产业最终解决其SS7大麻烦。

如何修复SS7漏洞?

SS7让各运营商之间能够互通,是全球电信主干的一部分。你无论在家、在路上,还是在国外都能收到朋友短信,就是因为有SS7的存在。但多年来,分析师一直在警告, 第三方有可能侵入SS7,监视和窃听数据。或者,将银行发送给客户的双因子验证码重定向到攻击者手中。

正如《南德日报》最先报道的,一旦黑客获得了某银行客户的用户名、口令和电话号码,他们就能利用SS7漏洞,重路由作为防欺诈最后一道防线的双因子验证码。报道中,黑客盯上的是德国运营商O2-Telefonica,但这有可能发生在任何一家运营商身上。是时候一次性解决SS7问题了。

德国安全研究实验室首席科学家卡尔斯滕·诺尔说:“这是我们第一次有了不可忽视的SS7滥用证据。我觉得这是个好的发展——只要客户会遭到损失,就必须采取行动;否则,若客户‘只是’被监视,你就有可能将之掩盖下来。”

修复漏洞

SS7问题源自其原始设置。因为这是电信运营商之间互通的方式,比如德国电信T-Mobile要求威瑞森传递短信,该协议被设计成信任任意请求。比如说,运营商经常相互“问”某设备的位置,以便计算出距离最近的信号塔来路由呼叫。这种自动化的交互一直在发生,但却几乎没有任何审查。 骗子只需要伪装成电信服务商,询问一样的位置问题,就会像真正的电信运营商一样得到答案,并进行非法跟踪。

诺尔和其他专家称,解决SS7安全问题,需要实现一系列的防火墙和过滤器,阻止此类攻击。说起来容易做起来难。首先, 设置自动化过滤器有屏蔽合法通信的风险,至少也会造成不便。 3月份的时候,美国联邦通信委员会(FCC)一个工作组总结称:“巨大的SS7流量是合法的,运营商在实现解决方案时应充分考量这一点,要避免连带网络影响。”

一些SS7专家警告,考虑到涉及的复杂性,真正强化SS7安全的过程,需要更精妙的方法,而不仅仅是过滤。电信安全公司 P1 Security 首席执行官菲利普·兰格罗伊斯说:“我很怀疑有哪种简易的过滤可以完全清除此类攻击。我们可不是在讨论添加一条防火墙规则就可以放手不管的事。”

研究人员称, 往SS7添加加密将解决更长期的SS7隐患, 因为可以遮住网络流量不让人窥探到,还能支持和强化身份验证。

但诺尔称,电信公司目前能实现的过滤系统,足够防护现实世界中发生的攻击了。如果可以从头开始构建一个新的SS7,那这肯定不是安全专家眼中完美的解决方案,但是网络或其他类似脆弱协议,并不会因为互操作问题就消失不见。 添加有效过滤,至少提供了最低限度的缓解。 “SS7解决方案的推出涉及许多步骤。这可不像网购那么简单,下个订单就坐等收货什么的。有一整套的过滤规则,你得一个接一个地应用。”

整个过程至少会耗掉公司2至3个月的时间。如果公司大,竞争项目多,拖出几年都有可能。不过,专家希望,近期的银行欺诈最终会激励公司做出必要的改变。

采取行动

尽管有漏洞,SS7依然是个私有网络,意味着罪犯必须黑进去,或者找个电信公司内部人士提供非法访问。但是,地下间谍软件市场上什么都有,花个几百万,访问权限到手。

无论何种方式进去,SS7攻击者显然胆子会变更大,可能会激发其他方式激发不出的行动。俄勒冈民主党参议员隆·威登和加州民主党代表刘云平,几个月来一直在敦促电信公司和FCC对SS7采取行动。目前为止,工作组的发现,以及国土安全部(DHS)近期的一份报告,就是他们想要呈现出来的东西。 去年,美国国家标准与技术局(NIST)同样不再建议在双因子身份验证中使用短信了,就是因为考虑到了利用SS7攻击的可能。

5月10号有关德国银行欺诈的声明中,刘云平说:“FCC和电信行业没能更早采取行动保护我们的隐私和金融安全,是不可接受的。每个人的账户都由基于短信的双因子身份验证保护,比如银行账户,但只要FCC和电信行业没有补上那灾难性的SS7安全漏洞,这些账户就处于风险之中。”

虽然关于短信和通信的隐私及安全问题没能刺激行动,但基于短信的双因子身份验证给在线账户带来的危险却能够做到。 IBM里研究过SS7的安全架构师哈桑·莫拉德说:“实现完整的解决方案需要时间和金钱,而且会侵入运营商不愿触碰的核心网络。但运营商可以采取更快的行动来防止这种情况。”

如果他们不这么做,就等于向黑客发出明确的信号:SS7依然是可供猎取的猎物。只要用双因子,就是潜在受害者。

相关阅读

未经允许不得转载:VPS16 » 如何修复SS7漏洞?

分享到:更多 ()

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址